CFCA专家颜维呈:信息安全工作要从四点开展
- 发布时间:2015-09-07 16:32:18 来源:中国网财经 责任编辑:郑梦琦
中国网财经9月7日讯(记者 毕晓娟)7日,由中金支付有限公司主办、中国金融认证中心(CFCA)联合主办的“互联网+金融”创新发展高峰论坛在成都城市名人酒店举行。中国金融认证中心(CFCA)信息安全专家颜维呈在论坛上发表主题演讲,他表示,信息安全工作的开展需要四点。
“第一,目的明确,要做到相对安全一定要跟业务相绑定。第二,结构化治理,信息安全不能蹴而就。第三,动态调整,我们应对的目标,应该考量的对象和客体是人。第四,行业联合,我们曾经在行业里面出过资金被盗取的案件,客户去公安报案,公安因数额较小,案发地点不明,拒绝立案。”颜维呈表示。
以下是演讲实录:
很高兴我们今天的会议非常热烈,全天的会议当中众多公司都强调了一点安全性,资金安全和信息安全,我这里借一点时间给大家讲一下CFCA在互联网金融方面的见解或者是认识。我们一直在研究互联网到底有哪些特征,总结出来它有四点。第一,万物皆互联。十年前大家没有想过掏出手机看电影或者买衣服。第二,随着技术更新我们的生活方式被改变,互联网是去中心化、多元化成本极低的东西。第三,我们总结互联网公司或者是互联网的技术发展这么多年,有一个态势,它不断发展,不断的否定与自我否定,大家都在讲“互联网+”是什么概念,就是用技术人员的角度来讲把它总结得稍微技术化一点,我们总结“互联网+”就是一个吊丝。为什么呢?大家想一下互联网热度的话题,五年为界,五年以前我们讨论博客、微博,现在微信很热,包括互联网加金融都很热,能热多久?我们总结互联网一定是无法预测的,不断的否定与自我否定。前两年银行讲互联网金融来了,我们银行立足于何处,是不是我们银行就消亡了?现在都在讨论实体网点到底在哪里。互联网不要怕,它是不断否定与自我否定的过程。大家可以看到这样一些数据,互联网金融在否定了一些传统价值的同时,它所创造出来的新的价值点是多元化的,这个价值点是我们营销的爆发点。
这是CFCA这么多年在金融领域调研的数据,这些数据比如说我们出去拉一个行人来采访他直观的感觉,他为什么要把钱放在互联网上,或者为什么要把钱放在银行里面,它关注的核心在于钱安全。因为钱如果在互联网不流动,包括P2P、众筹,它只是一个工具,包括支付也好,它只是一个工具,它只是定向的价值体现,这个价值最核心的就是说因为存在的基础就是安全,如果是为零的话。大家可以回顾一下,就是说两年以前或者是一年以前比特币是非常火爆的互联网金融的理念。随着2014最大的比特币交易网站大概一百多G的流量攻击以后,比特币就完全没有价值。我们的金融工具是什么?就是价值流通和转向。微信红包号称改变了中国人民过节日的传统,延续了多少年的传统,大家开始都摇一摇了,那我们看看它的安全性。另外一个话题我想分享的是说,我们现在万物皆互联,这样的环节下如果一个生态闭环,如果一个环节出了问题,那么导致的不仅仅就是说我们金融机构自身的问题,它所带来的负面影响是一连串的。
我们说完互联网我们再说说安全,我们讲的安全是什么?尘沙之下筑摩天大楼,我这里简单分享了我们数字上或者公开渠道能看到的东西。实际上在我们的暗处,包括今年的7月5日,在圈子里面很轰动的一件事情,就是说Hacking Team内部文件被曝光,我们圈子里讲人手一件核武器,这种情况下,右边的图可以看到网上的漏洞,它是公开售卖的。我刚才讲比特币为什么覆灭,我想问在座各位一句,谁家的网站能够经受得住10G流量的攻击,不多,就8个小时。由此所带来的威胁和攻击,我们其实今天讲信息安全就是在尘沙之上筑摩天大楼。
回到我们今天的核心议题,金融。金融的信息安全是可以量化的,可以直观感觉得到的。另外一个方面金融是什么,金融的数据直接是跟价值相关联的,而不是像其他传统行业的数据跟价值关联性是弱关联的,所以金融关注的信息安全的问题。我们CFCA的实验室在国内起步比较早,我们实验室里边的病毒样本,或者是木马样本,我们曾经拿出来在全国商业银行实验,使用1代K的情况下篡改成功率是百分之百,使用2代K的情况下在实验室的理论环境当中,因为我们实验室有比较好的环境,它的私钥倒处率是百分之百,也就是说篡改成功率是百分之百。大家在日常的工作中,或者对于客户的观念引导当中,安全一定是和便捷性相矛盾的一个话题,但是我觉得安全性不单单是你向你客户传递不必要的负担,而是我们确保我们关注客户资金的安全性,这是我们传递给客户我们的价值,我们的价值倡导点所在。安全进展到这一步,像“互联网+”一样,我们的竞争对手和目标是谁,藏在暗处的是谁我们不知道。我们曾经做过调查,网上DOS攻击70%都是由同业攻击引起的。最早来说就是上一个互联网浪潮的时候就是网游,包括私服就是被DOS攻击打垮的,现在大家都讲互联网金融很热,我们很重视安全性。请问一句,假如咱们的网站八个小时不能用,那咱们的客户会怎么样想?
其实安全这个东西,我们CFCA也在金融领域做一些研究工作,包括为客户提供相关的服务,CFCA更多的是一个平台,包括今天咱们参加这次会议,信息安全是咱们传递的一个价值点所在,信息安全工作怎么开展,我觉得有四点。第一,目的明确,我们信息安全不是简单的安全,我们要做到相对安全一定要跟业务相绑定。第二就是结构化治理,信息安全这件事情它不是一蹴而就的事情。第三就是动态调整,我们对抗的不是技术本身,而是由人在背后,包括我们使用的任何支付工具、众筹工具都只是工具而已,我们真正应对的,应该考量的对象和客体是人。第四是行业联合,就像今天的会议,我们曾经在行业里面也出过这样的案件,就是资金被盗取,客户去公安报案,公安说有没有超过2千,案发地点的发卡行在哪里,不立案。我们CFCA从我们的角度出发,在我们的平台之上促进整个行业的联合,在安全方面做得比较好的公司,比如像支付宝,它的案件也被曝出来,我们讲单独一家公司的力量肯定不足以对抗流沙的不稳定性。
总的来说我们保护的是信息资产,因为在金融行业信息资产就直接等同于金钱,因为在黑客领域它如果攻击传统的电信行业或者工业行业,它带来的收益不是直接的金钱。对于金融行业来说,客户把钱放在你这儿就是相当于对咱们的信任,咱们围绕信息资产建立起来一套完整的体系,我觉得这个价值是可以向客户传递的,我们关注您的收益,也关注您的安全。
我今天就分享到这里,谢谢大家!